可木的专栏

Welcome!

BotHunter的使用实验

安装好BotHunter后,开始实验其使用。

直接按照user guide,切换到cta-bh:su -l cta-bh  ,执行BotHunter,却说Command not Found。

想切回root:su root,提示sorry。google之,发现是因为cta-bh没有在root的wheel组里面,应该先把cta-bh加入wheel组:pw groupmod wheel -m <username>;pw user mod <username> -g wheel。加入后,能成功su回root,在cta-bh下,敲入BotHunter也有反应了,不过报错说 The command "../runsnort.csh" does not exist or is not readable.可能是文件权限不够,su回root,加权限chmod a+rwx runsnort.csh。再su回cta-bh,问题解决。(可以用chmod -R a+rwx BotHunter/ 命令使所有用户对BotHunter文件夹下所有文件可读可写可执行)

 

可是在此过程中,有很多java的报错,可能是因为没有装jre的原因,试着装一下。。。

下载diablo-jdk-freebsd6.i386.1.6.0.07.02.tbz,装的时候发现之前好像已经装过jdk了,还是freebsd7.x版本的。(uname -a可以查看freebsd版本)这些报错好像无关紧要,bothunter可以正常使用。

 

安装完成后,按照user guide摸索了半天,现在终于弄明白了许多。

OK,继续。

BotHunter有4种工作模式

1. LIVEPIPE,默认模式: (Recommended) Snort dialog events are redirected from the standard output of a command executed by BotHunter as needed (e.g., a wrapper script that starts Snort or a direct Snort invocation). 直接输入BotHunter [configure][shutdown][status]都回进入这个模式的文件夹执行。

    %BotHunter 启动BotHunter;

    %BotHunter configure 配置BotHunter;具体见User Guidehttp://www.bothunter.net/doc/users_guide-UNIX.html#Configuring_BotHunter

    %BotHunter status 查看BotHunter状态;

    %BotHunter shutdown 关闭BotHunter。

    因为这是BotHunter的默认模式,直接输入以上命令都会进入该模式的目录/home/cta-bh/BotHunter/LIVEPIPE_CONFIG。而在其他模式下要启动、配置、查看、关闭BotHunter都需要先进入模式的目录,且要加路径,详见下。

2. LIVEFILE,实时文件模式:  Snort dialog events are written to a  log file, and read live by the BotHunter Correlator. Snort先将log存入实时文件,BotHunter再对该log文件进行处理。实时存,实时处理,这个log文件就像个中间池一样。结果默认输出到本模式目录的botHunterResults_%dt.txt。(当shutdown BotHunter后,这个文件仍是空的,为什么?输出到底在哪里???)

    

    第一行命令建立该模式的目录;(只需第一次使用时建立)

    第二行命令运行snort,alertlog是snort实时保存日志的文件,&表示后台运行命令

    第三行命令进入该模式目录;

    第四行命令配置BotHunter。配置时,输入1选择输入源Select Input Source,在输入源里选择2:live file,然后输入作为BotHunter输入的日志文件alertlog。配置完成后,默认启动BotHunter。若要结束BotHunter,需要路径:java -jar ../botHunterInstaller.jar shutdown。

3. BATCH,批处理模式:  Snort dialog event logs can be stored, shared, and rerun through BotHunter in batch mode.这才是离线模式,离线处理已经保存好的snort日志文件,可以批处理。

     

    前两行命令建立并进入BATCH模式目录;

    第三行命令配置BATCH模式的BotHunter,输入1选择输入源3。(user guide中提供了很多snort的日志文件http://www.bothunter.net/doc/samples.html,这些日志需要将可信网络设置为192.168.0.0/16,输入2设置snort参数即可)配置完后,不会默认启动。

    第四行命令启动BotHunter开始批处理,<snort_log>既是需要批处理的snort日志文件。

4. INLINE,在线模式:   BotHunter is invoked as an element in an externally-created pipe sequence, and as such  BotHunter terminates when the standard input stream terminates.  直接读网络数据进行检测,个人觉得跟实时文件模式差不多,只是这个没有把中间池的日志文件保存下来。结果会存到bhProfiles.txt中,可是目前为止我没有看到。。。今晚实验一晚上,明天再来看结果。

   

    第三行命令配置,选择4号输入源;

    第四行命令同时执行snort和botHunter(‘|’表同时执行命令)

BotHunter支持多实例并行运行。

    即,可以创建别的目录,并在该目录下以某种模式并行运行。如BATCH_TEST,并在java -jar ... configure,在configure时选择BATCH模式对应的3号输入源就OK了。

 

今天就到这儿吧,BotProfile Format明天看。今晚实验看能不能在校园网里检测到bot,用INLINE和LIVEFILE两种模式同时实验。明早看结果。
阅读更多
个人分类: botnet BotHunter
想对作者说点什么? 我来说一句

Bothunter安装文件和说明文档

2011年07月31日 13.84MB 下载

BotHunter的GUI操作界面

None

jo_say jo_say

2011-05-16 11:21:00

阅读数:613

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭